去年金管會公布「公開發行公司建立內部控制制度處理準則」修正草案,100多家資本額達百億以上,或前一年底屬台灣 50 指數成分的上市櫃公司,須在今年年底底前設資安長及資安專責單位。但是這個規定讓很多的企業完全摸不著頭緒,資安長是幹嘛的?和資訊長有何不同?
Q:什麼是資安長?職責是什麼?
A:簡而言之就是負責公司資訊安全的最高的主管。對中小企業來說,可以一個人就管理了公司所有和資安相關的事情,大公司的話,就會建構一個團隊來處理公司的資訊安全事宜。
Q:資安長在公司裡應該扮演什麼角色?
A:資訊安全的專家,公司資訊的保衛者。但再雲端服務興起後,資安長的角色應該要更接近戰略家。也應該是個顧問,為未來公司各項開展的業務,提供可能的風險建議。
Q:資安長與資訊長有甚麼不同?
A:以前的資訊長很單純就是把維持公司電腦的正常運作,網路暢通,對內把資訊綜效發揮到淋漓盡致,對外把產品的服務和提供做到最好;資安長反而有點像踩煞車的角色,在每個環節都停下來檢查有沒有問題。
Q:資訊安全可以外包嗎?
A:以台灣中小企業的生態,大部分都沒有那麼多的資源可以在內部設定專責單位,外包當然是選項之一,但目前有針對金融業等高風險的行業,在某些資訊外包的情況下訂定的一些規範。
Q:中小企業如何面對資安的議題?
A:以前公司喜歡把電腦、伺服器放在公司內部,覺得把資料放上雲端是風險很高的行為,但近年來的資安風險反而都發生在公司內部。把資料放到有完整資安架構的雲端服務提供者,風險反而更低。
Q:資安長應該具備什麼樣的技能?
A:了解公司的IT的整體架構、漏悉弱點之所在,但更重要的是具備跨部門溝通協調以及向上管理的能力,讓公司高層能認同這些相關的措施。
Q:國外有類似「資安長」這樣的職務嗎?
A:其實現在各國對於資安都有很多的討論,日本就有相關的規定,希望企業能和政府相互配合進行數位轉型,而資安當然是相當重要的一環。甚至覺得資安長應該從被動防守的角色變成主動攻擊的資安長。
Q:什麼是零信任?
A:零信任不是不信任員工,而是不信任整個網路系統,因為網路無國界又看不到人,你要用最嚴格的標法去檢視和核實你所面對的訊息和要求。
Q:微軟的Windows 、Office還是目前企業和個人使用的最廣泛的產品,對於資安的保護可以做什麼?
A:在微軟產品的研發中,已經把零信任當作基本的設計;也預設產品可能遭受到任何攻擊,因此也在產品中加入了各種災害管理的設計,把災難降到最少。如果是使用雲端的產品,就會一直處於最新最安全的保護之下。
-
更完整的節目內容,請收聽T客播。
本集節目內容
- Apple Podcasts:https://ppt.cc/f6vhCx
- Spotify:https://ppt.cc/fwwJax
- Anchor:https://ppt.cc/f2Xnrx
- Google Podcast:https://ppt.cc/fS32yx
- KKBOX:https://ppt.cc/fN4d7x
- TechPocast:https://ppt.cc/fdz3vx
其他集數節目內容
T客播收聽平台
- Apple Podcasts:https://apple.co/3l7E98b
- Spotify:https://spoti.fi/32liou6
- Anchor:https://anchor.fm/t212
- Google Podcast:https://ppt.cc/f0QAZx
- KKBOX:https://ppt.cc/fSol2x
T客播Youtube頻道
- TechPodcast:https://ppt.cc/frqrxx
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!